作者:罗伯特·切斯尼
2019年12月18日,星期三
美国陆军网络司令部的网络旗帜2019演习(来源:Flickr /美国网络司令部公共事务照片)
即将颁布的美国2020财年《国防授权法》(NDAA 2020财年)包括一项条款,该条款将就“敏感的军事网络作战”的48小时通知要求对军事网络作战规范进行调整。
1.“敏感的军事网络行动”的现状如何?
美国国会多年来一直在建立管理军事网络作战的国内法律框架。具体而言,它已使用NDAA程序来阐明美国军方在网络领域开展行动的权力,以确保即使在可合理进行的基础上,这些行动也不构成美国国内法中的“秘密行动”;以及使某些此类行动遵循自定义设计的“会议通知”规则,该规则类似于用于秘密行动的更为熟悉的规则。
让我们看看关于通知国会的最后一部分的内容。
2017年制定的相关规则编纂为10 USC§395。它定义了一个名为“敏感军事网络作战”(SMCO)的类别,它要求国防部长在48小时内将任何此类活动的书面通知给参议院和众议院武装部队委员会。当然,这是建立在秘密行动监督规则的基础上的,但是没有总统授权的秘密行动要求引起的跨部门参与的可能,而监督却发生在武装部队委员会而不是情报委员会。
那么,该规则的范围是什么?也就是说,什么是SMCO?
根据10 USC§395 (b)的定义,必须满足这三个要素才能构成SMCO行动:
该行动必须是在DoDIN(国防信息网络)之外进行的“进攻性网络行动”或“防御性”行动,以便“战胜正在进行中或迫在眉睫的威胁”
它必须由美国武装部队进行
它必须旨在在除美军参与敌对行动(或美国已宣布敌对行动)以外的地点产生“网络效应”
简而言之,SMCO是指那些非DoDIN军事网络行动,旨在影响敌对区域之外的系统。鉴于这种情况可能在某种程度上具有外交和法律敏感性,并且其他法律发展确保了这些行动不会算作秘密行动,因此不难理解,国会为什么要确保为其提供某种定制形式的通知要求。
2. 其他军事网络作战的通知规则又是如何?
值得注意的是,SMCO规则并不是军事网络作战的唯一国会通知要求。其中存在一些复杂性,在继续研究新的NDAA将如何改变敏感的军事网络作战通知规则之前,我们应该解决这些复杂性。
首先,自2013年以来,国防部一直受到一般要求,每季度向武装部队委员会报告军队在网络领域进行的所有进攻性行动和所有“重大防御性”行动。
其次,更有趣的是,2017年的另一条法规创建了单独的48小时通知要求,该要求似乎与SMCO通知规则存在重大重叠。10 USC 396条涉及军方的“武器审查”过程(即,对武器或武器系统与国际法的兼容性进行认真审查的过程)。第396(a)(1)节要求向武装部队委员会进行季度简报,内容涉及将武器审查程序应用于“旨在用作武器的网络能力”。然后,第396(a)(2)节 然后,每当“军事部门根据国际法已批准将[用作武器]的网络功能”实际用作武器时,都会强加48小时通知要求。
这就提出了一个重要的问题:在任何SMCO都将构成触发396(a)(2)条的48小时通知规则的“武器”使用上,整个SMCO讨论是否多余?答案是不。
解决这里细微差别的一个有用方法是考虑《陆军条例》第27-53条(“武器和武器系统的法律评论”,2019年9月),该规则为该问题提供了明确的解决方法。
AR 27-53首先将“受法律审查的网络功能”定义为:
旨在进行网络空间攻击的任何设备或软件有效载荷(不包括命令行界面技术),如联合出版物3-12 中所定义。
联合出版物3-12依次将“网络空间攻击”定义为包括“在网络空间中产生明显的拒绝效应(即降级,干扰或破坏)或在物理领域导致拒绝效应的操纵”的行动。但是请注意,我们对第396(a)(2)节的特别关注不是一般的网络能力和网络攻击,而是特别是将网络能力用作“武器”。这是一个重要的区别。与较广泛的网络空间攻击类别相比,AR 27-53对“网络武器或网络武器系统”的定义要狭窄得多。网络武器或网络武器系统构成:
[a]网络能力,指通过网络效应来伤害或杀死人员,或人身损失或破坏财产的能力。这不包括被动地启用网络效应,但不会直接导致或严重影响此类效应的功能(例如,与负载无关的服务器或类似的基础结构)。[重点添加]
显然,在不涉及武器/武器系统类别的情况下,可以进行大量的“网络空间攻击”行动。因此,随之而来的是,可能存在一系列SMCO,它们也不会触发第396(a)(2)节的48小时通知规则。(有关与网络能力武器审查相关的复杂性的更多信息,请参阅Jeffrey Biller和Mike Schmitt在国际法研究中发表的这篇最新文章。)
3. NDAA 2020财政年度如何缩小SMCO的定义?
新NDAA的第1632条将以两种方式修改10 USC 395(b)中对SMCO的定义。
a.消除限制“防御性”行动范围的语言,这些操作可以算作SMCO
首先,新的NDAA从上面引用的SMCO定义的第一个元素中删去了一些语言(即要求该行动要么是进攻性的,要么是在DoDIN之外进行的防御性行动,以“战胜正在进行的或迫在眉睫的威胁” ”)。好吧,新的NDAA将大大简化该定义,因为它将消除“在[DoDIN]之外打败正在进行的或迫在眉睫的威胁”的语言。因此请注意,因此,第一个元素将包括要求行动可以是“进攻性网络行动”或“防御性网络行动”。既然这似乎涵盖了模糊地带,我认为可以公平地说,第一个要素将不再从事定义什么才是SMCO的工作。
在实践中这会很重要吗?乍一看,我很怀疑,因为我的直觉是要说(a)DoDIN国防部信息网络之外的防御活动通常可以被认为是用来打败正在进行的或迫在眉睫的威胁,并且(b)不会出现在DoDIN内部可能会在其他地方产生影响的活动。但是经过反思,我可以看到后者可能不是正确的。特别是,我可以看到有人可能会争辩说某些蜜罐陷阱(特别是涉及诱使放置在DoDIN系统中的文件的攻击,这些漏洞在被窃取并打开时将在外部系统上执行代码并引起某些特殊效果)在现状语言下的SMCO定义性问题。
无论如何,现在将解决所有此类纠纷,以支持SMCO承保-即满足以下所述的新SMCO定义要素。
b.通过添加某些风险和风险阈值要求来缩小SMCO定义
第二,新的NDAA将为SMCO定义增加一个重要的新元素,这将倾向于从通知义务的范围中消除相对不重要的低风险行动。
尤其是,除非军方确定所讨论的行动构成以下五种风险之一,否则原本可以成为SMCO的行动将不再具有这种资格:
(i)“中等或较高的附带影响估计数 ”
(ii)“中度或高度情报的得失 ”
(iii)“ 由相关行动概念所载的政治军事评估确定的政治报复的中等或高概率”
(iv)“在不打算进行检测的情况下,中等或较高的检测可能性”
(v)确定该行动将产生“中等或高附带影响 ”
以上是从第1632(2)节中引用的内容,并着重强调。
这是理想的变化吗?这取决于风险列表是否足够广泛,以及风险概率的校准(不包括“低”风险场景)是否正确。让我们简单地考虑这两个问题。
撇开列表中的第一和第五项看似相同。这是“正确的”风险清单吗?我看不出明显的差距。希望国会监督的根本原因是普遍关注的是,这种行动可能会产生意想不到但痛苦的后果,就像在秘密行动监督范式中一样。在这种情况下,这将包括以下情况:行动可能会对其他国家造成严重影响,对第三方造成伤害,情报收集权益受到破坏或使美国普遍感到尴尬-恰恰就是上述类别。
将风险阈值设置为中等或更高水平该怎么办?排除最小风险是有道理的。棘手的问题是,排除“低”风险情景是否有意义,要记住,这在数学上并不是精确的区分,并且在区分低风险与中等风险时,两者连接处会有一定作用。这种灵活性引起人们注意在某些情况下该阈值解释得太宽泛的风险。然而,由于真正的低风险活动可能已经阻塞了通知管道,从而消耗了军事和国会资源,甚至在更重要的情况下甚至削弱了监督的有效性,因此现状也存在着真正的代价。确实,第395条在2017年成为法律,以这种方式消耗了太多精力。话虽如此,我无能为力。我只是在推测。
底线?美国国会继续做些鲜为人知但重要的工作,以调整美国网络司令部执行其日益重要的任务的国内法律体系。与类似行动框架之类的类似情况一样,这涉及不断的平衡和再平衡,人们希望这种平衡和再平衡能够实现并保持效率与负责任监督之间的最佳折衷。新的NDAA似乎是对该项目的深思熟虑的贡献。
声明:本文来自网电空间战,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。